SANAS Un disque de 30’000 Go à l’EPFL et une utilisation ...

fi 5 – 31 mai 2005 – page 3

SANAS Un disque de 30’000 Go à l’EPFL et une utilisation dans la Faculté STI

[email protected], Domaine IT & [email protected], Faculté STI

Historique

Un projet de consolidation du stockage a démarré au milieu de l’année 2004 sous le mandat de la DIS. Le but de ce projet appelé SANAS est de proposer de la capacité de stockage réseau brut SAN (Storage Area Network) ainsi qu’un service de fichiers de type NAS (Network Attached Storage) en complément du service AFS existant. La solution retenue est celle de la compagnie EMC2 (voir article Serveurs centraux, de calculs et de fichiers: nouveautés pour 2005 paru dans le FI10/04). En pratique, cela représente 30 To visibles pour les utilisateurs (environ 20 To pour le service NAS et 10 To pour les clients SAN), avec une capacité identique pour le site de sauvegarde, soit 60 To au total.

Architecture d’un SAN-NAS

Voir la configuration de SAN-NAS sur l’illustration en page suivante.

Un réseau de stockage, Storage Area Network, SANMalgré l’adage connu qu’un dessin représente mille

mots, il semble nécessaire d’expliquer par le détail cette architecture:

Un média unique pour le transfert des données, la technologie fibre autorise un débit de 2 Go par seconde.

Au départ, un disque dur haute performance disposant de deux interfaces fibres, actuellement d’une capacité de 146 Go, la nouvelle géné-ration de disque de 300 Go va bientôt être certifiée sur cet équipement.

Celui-ci prend place en com-pagnie de 14 collègues pour remplir une unité de rack d’une hauteur de 3u (13.34 cm) dé-nommée Enclosure (en anglais dans le texte).

Chaque Enclosure est con-nectée par deux boucles fibre à un contrôleur. Dans l’équipement utilisé dans la configuration de l’École, il se dénomme CLARiiON C700. Un CLARiiON C700 est équipé de 4 processeurs à 3 GHz, 8 Go de mémoire, il peut gérer jusqu’à 240 dis-ques.Ceci représente une baie de stockage. Le C700 est localisé en bas du rack, vu de face on voit les ventila-teurs, à l’arrière on voit la connectique.

Pour assurer une fiabilité optimale, chaque groupe de 9 disques est configuré en RAID 5 (8+1), un RaidGroup dans la terminologie idoine. Pour le NAS, chaque RaidGroup est combiné avec trois systèmes équivalents qui sont divisés en segments de 250 Go physiques. Ainsi, les données sont réparties sur 36 disques assurant des performances élevées, on parle de 36 axes dans le jargon (technique des stripes et des slices). Chaque baie de stockage (CLARiiON C700) est connectée à deux commutateurs fibres (Cisco 9232, pour la redondance et le load balancing) qui desservent les clients. Pour séparer les communications entre chaque client, une technique similaire au masque d’adressage IP est utilisée, qui s’appelle Zoning et LunMasking.

Cette architecture est complexe et on pourrait se poser la question de sa pertinence. En pratique le matériel n’est que la fondation d’un SAN. Le logiciel de gestion représente la clé de voûte de l’ensemble.

Cet article est dédié à la mémoire de Paul Debefve, coordinateur informatique de la faculté STI, décédé subitement le mardi 10 mai 2005

mailto:[email protected]

mailto:[email protected]

fi 5 – 31 mai 2005 – page 4

SANAS: un disque de 30’000 Go à l’EPFL et une utilisation dans la Faculté STI

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

fig. 1 –

arc

hite

ctur

e de

SAN

-NAS;

ave

c du

hau

t en

bas

, le

s cl

ient

s su

r le

rés

eau,

les

serv

eurs

clie

nts

du S

AN

, le

s se

rveu

rs d

u N

AS,

les

commut

ateu

rs fi

bres

et

final

emen

t le

s ba

ies

de s

tock

age

fi 5 – 31 mai 2005 – page 5

Par une interface Web réalisée par des applets Java, on accède à la gestion de l’ensemble des fonctionnalités par une interface unique.

Pour les aficionados de la ligne de commande, il est également possible d’accéder à des fonctions plus spécifiques réservées aux initiés. Dans notre configuration, deux baies de stockage similaires ont été mises en place sur le site de production, représentant logiquement les fonctionnalités SAN et NAS.

Les clients (Serveurs Windows, Solaris, Linux, interfaces NAS) sont connectés par des liens fibres. Pour assurer une redondance élevée, chaque client possède deux liens fibres au minimum. Dans le jargon, un lien fibre est dénommé une patte, rendant l’apparition d’un mille-pattes peu plausible.

Une sécurité très élevée, deux sitesPour assurer le minimum de perturbations en production,

un site miroir existe en parallèle du site de production du DIT. Le miroir est situé dans le nouveau bâtiment de la Fa-culté IC distant de ̃ 1’200 m. Actuellement en mode passif, il est configuré pour récupérer des données ou assurer en mode dégradé la reprise provisoire du site de production.

Un mode site de production actif - site miroir actif peut être envisagé dans une utilisation future.

La configuration plus simple du site miroir se compose d’une baie de stockage (CLARiiON C700) , de deux com-mutateurs fibre (Cisco MDS 9216) et de deux data mover (Celerra NS702G).

Pour assurer un service sans dégradation pour les clients SAN, une copie synchrone est assurée avec des disques fibres pour une capacité de 10 To. La copie asynchrone des données pour le NAS s’effectue par des connexions Ethernet dédiées. Pour réduire le coût, des disques SATA de 320 Go sont utilisés.

Une copie de sauvegarde sur bandeLa protection de l’ensemble des données est réalisée par le

robot STK du DIT déjà utilisé pour le service de sauvegarde centralisée. Pour le NAS, un lecteur de bandes est directement intégré aux commutateurs fibres et offre avec le protocole NDMP des performances élevées, de 15 à 25 Mo par seconde. Il est rattaché à une des têtes NAS du site miroir. Les données du NAS étant répliquées, les sauvegardes pourront s’effectuer depuis le site miroir. Cette architecture permet de travailler 24h/24h 365j/365j sans perte de performance sur le site de production.

Pour le SAN, un client Veritas NetBackup devra être installé et configuré pour chaque client.

Services SAN

Comme indiqué précédemment, les clients sont con-nectés par au moins une patte, une connexion fibre entre le commutateur et lui-même, la carte qui remplit ce rôle est dénommée un HBA. Cette connexion physique entraîne une proximité relative (moins de 100m) pour l’équipement.

Une fois la carte (HBA) et les pilotes installés, l’ordina-teur voit l’espace mis à disposition comme un disque dur résidant dans son équipement, alors que celui-ci réside dans la baie de stockage.

Les performances très élevées de la baie permettent la création rapide de clone d’un disque dur SAN avec un délai sans équivalence. Si la synchronisation initiale prend des heures (tâches de fond), la mise à jour de clone prend par la suite quelques minutes.

L’étape ultime serait de supprimer les disques durs locaux des ordinateurs clients et de démarrer le système à partir d’un disque résidant sur le SAN.

L’installation d’agent spécifique à un logiciel métier, pour une base de données ou un serveur de messagerie permet d’étendre cette fonctionnalité de sauvegarde à un élément logique.

Dans notre cas, elle sera utilisée pour sauvegarder régulièrement l’état des boîtes aux lettres électroniques d’Exchange.

Dans la configuration de l’École, l’espace SAN représente 30% de l’espace total, soit 10 To. Les premiers clients du SAN seront les serveurs de messagerie de l’École, IMAP sous Unix Solaris et Exchange sous Windows 2003.

Une consolidation de serveurs, un Network Attached Storage, NAS

En pratique, un service NAS est lui-même client du SAN. Dans notre cas, une baie de stockage est dédiée au NAS, mais on peut envisager une configuration mixte. Dans la configuration de l’École, l’espace NAS représente 70 % de l’espace total, soit 20 To.

Connecté par 4 pattes à chacun des commutateurs, le NAS est constitué de 4 serveurs de déplacement de données DataMover (Celerra NS704G) et d’une console de contrôle en production.


fi 5 – 31 mai 2005 – page 6

Chaque serveur de déplacement de données, Celerra NS704G, possède 4 Go de mémoire et 2 processeurs à 3 GHz.

Contrairement à un serveur généraliste, un DataMover ne sait que transférer des données depuis le SAN vers des clients connectés par Ethernet. Il possède 8 ports Ethernet de 1 Gb/s.

Un serveur virtuelCe serveur virtuel possède tous les attributs d’une ma-

chine réelle. En particulier un nom Wins et DNS, une adresse IP, et même une adresse MAC programmable.

Représenté par serveur virtuel sur le NAS, Virtuel Data Mover, VDM, il réside sur un DataMover et peut automa-tiquement se transférer sur un autre DataMover en cas de problème ou d’intervention de maintenance.

Ce VDM contient des espaces de données (file system) qui peuvent atteindre 2 To actuellement, 16 To dans une prochaine version.

L’avantage immédiat d’un NAS est la possibilité d’aug-menter la taille d’un file system à tous moments, cela sans interrompre son utilisation et avec une rapidité déconcertante (moins de 5 minutes pour passer de 500 Go à 1000 Go).

Il existe la possibilité de travailler indifféremment avec des partages NFS (Unix) ou CIFS (Windows, Samba).

Actuellement, le système supporte NFS version 3, ce qui implique une limitation d’accès par adresse IP.

Le support prévu de NFS version 4 permettra d’intégrer les fonctionnalités d’identification à la connexion et l’utili-sation de liste de droits (ACL).

Une sauvegarde de l’état des fichiers à un instant donné

La capacité de sauvegarder à intervalles réguliers l’état des données, snapshot sur un espace dédié, est également une fonctionnalité particulièrement intéressante.

Son utilisation se résume simplement à taper .ckpt dans n’importe quel répertoire, sous n’importe quels clients, pour obtenir la vision des fichiers à un instant donné.

Ceci est également possible avec le client Windows shadow copy client (VSS).

Cette fonctionnalité accessible par chacun représente une avancée majeure, évitant souvent le recours à une récupéra-tion depuis une bande.

Une limitation de l’utilisation de l’espace par QuotaPour permettre une utilisation rationnelle de l’espace

disque mis à disposition d’un groupe d’usagers, la présence d’un gestionnaire de quota permet un contrôle de l’espace disque utilisé.

Des données exemptes de virus avec l’accès CIFSPour éviter la contamination des données, un antivirus

McAfee empêche l’entrée des fichiers infectés. Malheureu-sement, cette fonction n’est pas présente avec le protocole d’accès NFS.

Une intégration élevée avec WindowsLa beauté de l’implémentation de EMC2 est de donner

aux administrateurs Windows la visualisation d’un serveur sous une forme similaire à une machine réelle:

une console d’administration MMC

On retrouve ainsi l’ensemble des outils de gestion d’un serveur PC classique.

Sur un filesystem, on crée des partages de fichiers avec la console d’administration.

L’intégration des fonctionnalités des Snapshots et des Quotas est très élevée, l’utilisation des API de Microsoft, permettant un affichage identique:

L’apparence est trompeuse, puisque la tête NAS fonc-tionne sous un système d’exploitation à base d’Unix BSD avec un format de données spécifiques qui ajoute le SID de Windows aux UID et GID habituels d’UNIX.

Il est important d’en avoir conscience dès que l’on aborde son intégration dans un environnement hétérogène.

La mise en œuvre pour la Faculté STI

Une vision sur le long termeFin 2003, un espace total de 6 To est disponible dans les

serveurs de la Faculté. Cet espace est hébergé sur des serveurs de capacité et de technologie fort variés.


fi 5 – 31 mai 2005 – page 7

Dans l’optique du remplacement de serveurs obsolètes ou dont la maintenance sera échue, une demande hors enve-loppe d’un NAS a été soumise en 2004. Cette demande a été incluse dans le projet SANAS conjointement à une demande similaire issue de la Faculté SB.

Paul Debefve et Laurent Kling ont suivi l’évaluation et le choix de l’équipement. La Faculté STI étant choisie pour réaliser le pilote de l’implémentation avec un partage commun CIFS et NFS.

Un espace commun pour les accès NFS et CIFS

L’idée d’un espace commun accessible par les deux pro-tocoles de transfert les plus utilisés dans la faculté STI vient immédiatement à l’esprit, particulièrement quand la plate-forme technique utilisée se base sur une mouture d’Unix.

Il est nécessaire de dépasser les interfaces graphiques, voir même le mode ligne de commande pour pouvoir mettre en place un tel système et il faut disposer de:❚ un mécanisme automatisé de synchronisation, Adldap2;❚ la capacité de celui-ci de s’adapter rapidement aux be-

soins;❚ la présence d’un expert dont la création de script per-

sonnalisé résout les problèmes non imaginés par les concepteurs du NAS: Daniel Meier d’EMC2;

❚ l’administrateur du NAS à l’EPFL: Aristide Boisseau du DIT;

❚ un administrateur éclectique aimant marier la carpe et le lapin: Laurent Kling de la STI;

❚ un certain temps, comme aurait dit Fernand Renaud, pour tester les différentes stratégies.

Un DataMover dans le détailLe serveur de transfert de données est un ordinateur qui

exécute un système d’exploitation Unix BSD avec un système de fichiers propriétaire.

Pour comprendre les mécanismes d’identification entre l’ancien et le Nouveau Monde, un bref rappel:

Unix Windows

Usager Le nom de l’usa-ger est mis en rela-tion avec son User Identification (UID). Un objet sur un dis-que possède toujours un UID.L’UID est unique

L’unique identifiant est le System Identification (SID), il est attribué à chaque objet. Dans un domaine Active Direc-tory, tous les SID ont une base commune. Le début d’un SID est semblable à tous les ordinateurs Windows, il est issu d’une désigna-tion X500 (OID).Un SID ne peut pas être normalement recréé. Il est unique dans la durée.

Groupe L’usager est membre de groupes de sécu-rité, il possède un groupe préférentiel. Chaque groupe de sécurité possède un Group Identification (GID).Le GID est unique

Un DataMover possède deux mécanismes d’identification

avec Active Directory.

UserMapper SecurityMapper

Le mécanisme standard d’authentification, dès l’intro-duction d’un serveur virtuel dans un domaine, récupère l’ensemble des groupes auquel appartient l’usager utilisé, puis est capable d’établir une relation entre un SID de l’usager et un UID à la volée, de même entre le SID des groupes de sécurité et leur GID. Les UID et GID sont générés automatiquement.

Un mécanisme interne de gestion similaire à Unix, utilisant deux tables pour les UID et GID. Un méca-nisme de découverte et de résolution entre le SID et le nom des usagers ou du groupe de sécurité étant réalisé à la volée par un mécanisme interne non documenté.

Import-export: il est unique-ment capable d’importer des données d’usager et de groupe de sécurité avec leur SID

Import-export: on peut forcer les tables UID et GID.

Le projet avec Adldap2:

Adldap2 NAS SecurityMapper

1 Générer les tables UID et GID pour introduire le serveur virtuel NAS dans le domaine. En consé-quence, les opérations qui suivent doivent être réalisées.

Malgré un succès d’estime rapide, il est vite apparu que l’intégration est plus complexe. Après une obser-vation du fonctionnement normal (avec UserMapper), il apparaît que la quasi-totalité des groupes et des comptes du domaine Ac-tive Directory doivent êtres présents dans les tables du SecurityMapper

2 Vérifier la conformité de la nomenclature des usagers et des groupes de sécurité du domaine AD selon le RFC 1123.

Pour éviter la présence de caractères indésirables.

3 Créer la table des usagers UID. Établir la relation biunivoque entre l’usager AD et son UID prove-nant du LDAP.

Remplacer la table de cor-respondance usager = UID. La correspondance SID = UID est réalisée par un mécanisme interne.

4 Créer la table des groupes GID. A: établir la relation biunivoque entre le groupe de sécurité unité- StaffG AD et son GID provenant du LDAP.B: créer et conserver une table de relation biunivo-que entre tous les autres groupes de sécurité AD et un GID générés à la volée.

Remplacer la table de cor-respondance groupe de sécurité = GID.La correspondance SID = GID est réalisée par un mécanisme interne.


fi 5 – 31 mai 2005 – page 8

5 Mettre en place un mécanisme pour mettre à jour régulièrement le SecurityMapper dans le DataMover

Cette démarche s’est réalisée sans problèmes particu-liers. Un écueil majeur est cependant apparu dans le cas de modification du nom d’un objet, car le mécanisme de réso-lution interne du SecurityMapper entre le SID et l’UID ou le GID ne possède pas d’interface de programmation pour interagir avec lui.

L’utilisation alternative du UserMapper serait possible, mais le cas suivant peut générer des fichiers incohérents sur le DataMover.❚ création d’un compte dans Active Directory avec la

génération automatique d’un SID pour l’usager;❚ utilisation de celui-ci sur le NAS; ◗ résolution du SID de l’usager et création d’un UID1

à la volée par le NAS; ◗ création de fichier par l’usager avec l’UID1;

❚ remplacement périodique des relations entre SID et UID2 défini par LDAP par Adldap2;

◗ perte de l’accès au fichier, car l’UID1 généré à la volée ne correspond pas à l’UID2 contenu dans le LDAP.En conclusion, dans la version actuelle du NAS, il n’est

pas possible de garantir un fonctionnement sans la possibilité de cas limites avec l’introduction de données externes. En particulier, l’absence d’interface de programmation sur les mécanismes internes du NAS qui permettrait de résoudre la relation entre SID et UID-GID. Il est possible que ces limites disparaissent avec une prochaine version du code du NAS.

Un espace NFS séparéL’objectif d’un espace commun ne pouvant se concréti-

ser, le protocole CIFS semble être celui qui offre le moins d’inconvénients.


��

� � � ��

� � � � ��

��

��

��

��

��

��

Tableau de bord d'Adldap2: un exemple d'état parmi quatorze disponibles, l'utilisation du NAS par unité

Tableau de bord d'Adldap2 récapitulatif

fi 5 – 31 mai 2005 – page 9

Les unités qui le désirent peuvent obtenir un espace NFS au détriment d’un espace CIFS.Une synchronisation LDAP - Active Directory - NAS = Adldap2

Dans la pratique, il faut gérer la création d’unité, la création et le déplacement d’usager, la gestion des droits de sécurité, et automatiser ce travail.

Ce constat a généré le développement d’Adldap2 qui intègre toutes les fonctionnalités de Adldap avec l’ajout de la gestion du NAS. Adldap2 est utilisé actuellement dans trois Facultés par l’intermédiaire de leurs responsables de Domaine AD:❚ Sourythep Samoutphonh pour I&C,❚ Yvon Roucher pour SV❚ et Laurent Kling pour STI.

Un article lui a été consacré dans le FI 3/04, http://dit.epfl.ch/publications-spip/article.php3?id_article=512.

Un espace de 3 Go pour chaque collaborateur

La faculté STI comprend 1’157 personnes (état du 6 mai 2005) réparties dans 125 structures avec 125 comptes d’ad-ministration locaux (voir figure en page précédente).

Ces données sont issues du tableau de bord inclus dans Adldap2 qui permet de visualiser l’état complet du do-maine. Les données spécifiques à un état sont représentées par des vues supplémentaires. La possibilité de suivre les modifications sur la durée permet de comprendre l’évolution de la population concernée.

125 gestions personnaliséesÀ l’écoute des demandes des usagers, une gestion cen-

tralisée peut vite apparaître insurmontable à mettre en place pour faire face aux demandes contradictoires sur l’utilisation d’un serveur de fichier. Certains laboratoires désirent que l’espace soit alloué personnellement avec un accès strictement privé, d’autres laboratoires veulent bannir les espaces privés et disposer uniquement d’un lieu commun accessible à tous. La nécessité d’un canevas commun personnalisé pour chacune des unités concernées (laboratoires, instituts, administration, ateliers), apparaît rapidement. Les limites de la configuration du NAS sont définies par des contraintes techniques:❚ le débit d’une sauvegarde qui n’excède pas 100 Go/heure❚ la durée de reconstruction d’un RAID.

La réponse se décompose en quatre éléments:1. une structure unifiée2. une configuration personnalisée3. des quotas modulables4. une gestion indépendante d’une plate-forme.

Réaliser une structure unifiéeForte de l’expérience précédente réalisée dans le domaine

Active Directory STI, la structure proposée correspond aux demandes des usagers. Deux nouveaux groupes de sécurité ont été introduits:❚ un groupe universel unité-AllU qui contient l’ensemble

des collaborateurs sous le niveau d’un laboratoire, institut ou Faculté.

❚ un groupe de sécurité unité-StaffAdminG qui possède

son corollaire dans le NAS pour héberger les données sensibles.

��

��

��

��

��

��

��

��

��

��

��

��

��

��

La composition du nom des groupes de sécurité permet une efficacité optimale, il se décompose en quatre parties:1. le préfixe correspondant au nom de l’unité sans «-» pour

éviter des confusions2. un séparateur «-»3. la fonction du groupe de sécurité4. un suffixe qui représente la qualité du groupe de sécurité

(L = local, G = global, U = universel).Ainsi, il est toujours possible de sélectionner rapidement

les groupes de sécurité d’une unité:

ou dans un mode texte de connaître la qualité des groupes utilisée:L:\sti-sg>cacls sti-itL:\sti-sg\sti-it BUILTIN\Administrators:(OI)(CI)F STI\stiit-AdminG:(OI)(CI)F STI\stiit-AllU:(OI)(CI)R STI\stiit-StaffG:(OI)(CI)R

Pour respecter les limites techniques du NAS, un espace disque est créé par institut, un partage de fichier est créé sous


http://dit.epfl.ch/publications-spip/article.php3?id_article=512


fi 5 – 31 mai 2005 – page 10

son nom. Les laboratoires partagent cet espace commun.Un lien DFS permet d’accéder directement au labora-

toire, pour les usagers dont les ordinateurs Windows sont dans le domaine.

Une configuration personnaliséePour permettre un réglage conforme au désir des utilisa-

teurs, deux éléments sont introduits:❚ Une allocation extraordinaire d’équivalent usager. Ce

mécanisme permet de répondre aux demandes quotidien-nes où les exceptions sont plus fréquentes que la règle. Si une allocation uniforme de 3 Go par usager répond à une configuration standard, la possibilité d’augmenter l’allocation pour tenir compte d’historique ou de circons-tances inhabituelles permet de satisfaire la quasi-totalité des usagers.

❚ Une répartition entre espaces privés et publics.Ces deux paramètres sont introduits à la création d’une

unité, ils peuvent être modifiés dès que le besoin se fait sentir.

Des quotas modulablesL’espace alloué à un laboratoire est défini. Seule, l’arrivée

de nouveaux collaborateurs augmente sa taille.Un principe de vase communicant est mis en place. Tout

ajout ou suppression de quota chez un usager entraîne l’effet inverse pour le compte de l’administrateur. Pour éviter que des fichiers mis en commun par un usager soient décomptés, l’administrateur peut utiliser son quota. Il reste à traiter trois exceptions:1. Un usager qui collabore à un laboratoire extérieur. Si

un usager collabore avec un laboratoire qui ne fait pas partie de son institut, il obtient automatiquement un quota de 300 Mo dans celui-ci.

2. Un compte de service parasite. Pour éviter la proliféra-tion de comptes parasites bénéficiaires de l’espace équi-valent à un passager, soit 3 Go, un usager non référencé obtient un espace sans conséquence sur l’espace global, soit 20 Mo.

3. Un espace d’échange. Il est parfois nécessaire de disposer d’un lieu pour déposer des fichiers à traiter, par exemple pour la commande de service. L’espace alloué par usager est convenable, par exemple 300 Mo, mais la taille de l’espace de stockage est limitée, par exemple 3 Go avec uniquement la possibilité de déposer un fichier.

Adldap2 dans le détailLa capacité de gérer le

NAS depuis un poste Win-dows en utilisant un API standard représente un vrai tour de force technique de la part d’EMC2. L’adapta-tion du programme existant consiste à:❚ générer la modification

de la structure du NAS comme suite à l’ajout d’un laboratoire, et con-server sa configuration spécifique;

❚ adapter les flux de données de création, déplacement et suppression d’usager avec des unités présentes dans le NAS;

❚ créer et gérer les quotas des usagers;❚ gérer un fichier de configuration propre au domaine;❚ être capable de s’intégrer dans un flux de traitement exté-

rieur, en particulier la capacité de travailler récursivement pour réaliser l’ensemble des changements;

❚ accepter un mode manuel, ou automatique avec une limite aux nombres de modifications apportées.L’ensemble des modifications est réalisé et Adldap2 se

trouve en production dans 3 domaines depuis janvier 2005 sans incident, représentant 1880 usagers et 247 unités. Les seuls arrêts observés ont été occasionnés par la présence de garde-fous internes évitant de traiter des données dont l’orga-nisation a été modifiée ou dont la structure est incohérente, comme la présence de doublon.

La génération des modifications de la configuration du NAS utilise un mécanisme identique de transformation utilisée pour les autres fonctions:

��

��

��

��

Cette démarche est particulièrement efficace, remplaçant la réécriture de programme réalisant une tache définie par une simple modification d’un fichier texte.

Ainsi, le passage du format utilisé par l’importation d’usagers dans le NAS avec SecurityMapper par l’utilisation du UserMapper nécessite uniquement la modification d’une


Chablon UserMapper

'Template to generate NAS-EMC group'' Version 1.0 , 4 janvier 2005' Version 1.1 , 12 janvier 2005, version UserMapper'' format to be'SID:*:GID:domain sti.intranet.epfl.ch##SecGroupSID##:*:##SecGroupGID##:domain sti.intranet.epfl.ch

Chablon SecurityMapper

'Template to generate NAS-EMC group'' Version 1.0 , 4 janvier 2005' Version 1.1 , 12 janvier 2005, version SecurityMapper'' format to be‘ <Nom groupe.domaine>:*:GID: ##sAMaccount##.STI:*:##SecGroupGID##:

fi 5 – 31 mai 2005 – page 11


@rem cree dossier de l’unite sti-itMKDIR L:sti-sg\sti-it@rem cree dossier communMKDIR L:sti-sg\sti-it\stiit-commun...@rem donne les droitscacls L:sti-sg\sti-it /t /g Administrators:F stiit-AdminG:F stiit-StaffG:R stiit-AllU:R@rem@rem vbs work on NAS ("Microsoft.DiskQuota.1")quotaadd L 32212254720 [email protected]@rem...@rem @rem don’t make new share (share are in institut level)@rem@rem make new DFS entry (in sub level of share for institut)dfscmd /map \\sti\net\sti-it \\stisrv\sti-sg\sti-it "sti-it home in sti-sg"

ligne dans un fichier texte.Un autre exemple est la création d’un laboratoire dans le NAS qui réalise également l’inscription du chemin réseau au

niveau du DFS:

Chablon: NewNaslabo.tpl'Template to create an unit in NAS system'' Version 1.0 , 30 janvier 2004' Based of the same structure of current hierarchie generated by ADSI VBS Script'@rem cree dossier de l’unite ##Name##MKDIR ##NASpath##\##Name##@rem cree dossier communMKDIR ##NASpath##\##Name##\##NameStriped##-commun...@rem donne les droitscacls ##NASpath##\##Name## /t /g Administrators:F ##NameStriped##-AdminG:F ##NameStriped##-StaffG:R ##NameStriped##-AllU:R@rem@rem vbs work on NAS ("Microsoft.DiskQuota.1")quotaadd ##NASdrive## ##NASadminQuota## admin##NameStriped##@sti.intranet.epfl.ch@rem....@rem @rem don’t make new share (share are in institut level)@rem@rem make new DFS entry (in sub level of share for institut)dfscmd /map \\sti\net\##Name## \\stisrv\##Institut##\##Name## "##Name## home in ##Institut##"

Résultat a exécuter: NewNasLabo_sti-sg_sti-it.cmd

Une gestion indépendante d’une plate-forme

Dans un environnement hétérogène, il est indispensa-ble d’offrir des interfaces sans relation avec la plate-forme technique. L’utilisation d’Inform décrit par Pierre Crevoisier dans le numéro précédent, http://dit.epfl.ch/publications-spip/article.php3?id_article=864, offre une interface simple pour créer des formulaires électroniques.

La présence sous-jacente de base de données permet une utilisation optimale.Trois formulaires sont maintenant disponibles à l’adresse http://sti.epfl.ch/intranet/informatique/nas/:❚ la création d’une unité dans le NAS;❚ la création d’utilisateur de service;❚ la création et l’appartenance ont un groupe de sécurité.

Ces formulaires évitent à un administrateur dont l’en-vironnement se compose exclusivement de Macintosh ou d’ordinateur sous Unix-Linux de devoir installer une ma-chine virtuelle Windows connectée au domaine réel pour installer une console d’administration. Pour les unités où les ordinateurs se trouvent dans le domaine, une délégation de gestion s’impose généralement comme la solution la plus simple pour gérer son parc de PC Windows.

Un réglage fin des quotas réalisé par l’administrateur local

Dès la mise en place d’une gestion par quota, il apparaît vite la nécessité de disposer d’un rapport sur l’utilisation du disque et de pouvoir modifier le quota alloué à un usager. Chaque administrateur d’une unité possède l’accès d’un dossier contenant un rapport quotidien sur ses usagers. Le format utilisé peut être facilement importé depuis un tableur comme le montre la figure en page suivante.

La modification des quotas contenus dans ce fichier entraîne la modification des quotas alloués dans les limites établies. Une modification de quota réussie provoque l’ar-chivage automatique de la consigne. Ainsi, un historique des modifications est conservé. Un développement en cours par deux apprentis dans notre Faculté, Claudia Mermoud STI-IT et Marc Longchamp I2S-LA permettra une visua-lisation et manipulation des quotas avec un programme réalisé en Java.

Un accès simple depuis les postes clientsLe premier objectif d’un système unifié est d’offrir une

méthode simple de connexion d’un ordinateur depuis un poste client, quatre exemples:



http://sti.epfl.ch/intranet/informatique/nas/

fi 5 – 31 mai 2005 – page 12


Pour un Macintosh◗ vérifier que l’accès SMB est activé et que le groupe de

travail correspond au domaine (STI) avec le bon serveur Wins (128.178.15.44);

◗ vérification que les DNS sont ceux d’Active Directory (128.178.15.227 & 128.178.15.228);

◗ vérifier que le compte Active Directory est actif et que la synchronisation des mots de passe est correcte;

◗ réaliser la connexion smb://stisrv/institut/labora-toire/nomimap, institut et laboratoire sont l’acronyme de l’unité;

◗ pour le nom d’utilisateur, introduire votre nom imap et pour le mot de passe, votre mot de passe gaspar.

Pour un PC Linux avec l’aide de Rolf Jordi, STI-I2S-LSA1◗ vérification que les DNS sont ceux d’Active Directory

(128.178.15.227 & 128.178.15.228);◗ vérifier que le compte Active Directory est actif et que la

synchronisation des mots de passe est correcte;◗ créer un point de montage /mnt/sti;◗ monter le volume de l’institut mount -t cifs -o

user=nomimap,domain=sti //stisrv/institut

/mnt/sti/, institut et laboratoire sont l’acronyme de l’unité;

◗ un mot de passe sera demandé, introduire votre mot de passe Gaspar;

◗ aller à votre dossier personnel /mnt/sti/laboratoire/nomimap.

Pour un PC Windows hors domaine◗ vérifier le bon serveur Wins (128.178.15.44);◗ vérification que les DNS sont ceux d’Active Directory

(128.178.15.227 & 128.178.15.228);◗ vérifier que le compte Active Directory est actif et que la

synchronisation des mots de passe est correcte◗ réaliser la connexion avec l’outil monter un disque;

choisir la lettre ou monter le volume, pour le nom de serveur \\stisrv\institut, institut et laboratoire sont l’acronyme de l’unité;

◗ pour le nom d’utilisateur, introduire votre nom sti\nomimap; pour le mot de passe, introduire votre mot de passe Gaspar;

◗ aller au bon dossier, Lettre:\laboratoire\nomimap.

Pour un PC Windows dans le domaine◗ le serveur WINS doit déjà être correct (128.178.15.44);◗ idem pour le DNS (128.178.15.227 & 128.178.15.228);◗ idem pour le compte Active Directory;◗ connectez-vous dans le domaine;◗ Réaliser la connexion avec l’outil monter un disque;

choisir la lettre ou monter le volume pour le nom de serveur \\sti\net\laboratoire\nomimap, laboratoire est l’acronyme de l’unité;

◗ le mot de passe a déjà été introduit lors de l’ouverture de la session et le laboratoire possède un lien DFS.

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

� � ��

��

Tableau de bord d'Adldap2: rapport sur l'utilisation du NAS pour une unité

fi 5 – 31 mai 2005 – page 13


En conclusion, une nouvelle méthode de travailL’arrivée du système NAS offre la chance de repenser la

place du stockage dans notre travail quotidien. La diversité des moyens offerts à un utilisateur pour stocker des infor-mations est très élevée. Il peut paraître curieux d’offrir un espace centralisé alors qu’une clé USB de 0.5 ou 1 Go offre un bon rapport capacité – coût – autonomie.

Au contraire, la persistance des données du NAS doit être utilisée pour conserver les informations les plus pertinentes. Sa capacité d’augmenter la taille des données sans incidence sur sa gestion et la conservation à court terme des derniers états d’un fichier offre une flexibilité élevée. Une utilisation naïve serait de l’utiliser comme un espace de sauvegarde, un super coffre-fort conservant dans le cas le plus absurde un gros fichier archivé chaque jour représentant la sauvegarde de plusieurs milliers de documents. Il doit être utilisé comme l’espace central de conservation avec un accès par le réseau qui offre le maximum de flexibilité.

La migration de services, une démarche darwinienne ?

À la transmission des caractéristiques biologiques par la sélection génétique des espèces, les humains ont substitué une sélection des idées permettant à l’humanité des progrès importants.

Cette transmission du savoir peut prendre une forme spectaculaire. Le peuple ouïgour aux confins de l’Asie centrale n’a pas hésité d’utiliser l’écriture du peuple dominant, pas-sant successivement par l’écriture runique, sogdiane, arabe, chinoise et finalement cyrillique sur plus de 2000 ans. Le paradoxe tient au fait que les trois dernières écritures soient restées vivaces, offrant la vision surréaliste d’un hebdomadaire véhiculant la même langue écrite dans trois écritures totale-ment différentes dans le sens de la lecture et de l’alphabet. Un parallèle peut être établi avec le NAS qui à partir d’une base Unix offre des services intégrés dans le monde Windows.

La capacité de l’entreprise EMC2 de gérer l’ensemble de ce processus est particulièrement intéressante. Par exemple l’outil de migration (CDMS) permet la migration en ligne de données, en clonant les attributs du serveur source comme le nom ou l’adresse IP voir l’adresse MAC sans arrêter l’accès des données par les usagers. Un équipement équivalant au nôtre a permis aux Hôpitaux de Paris de migrer ainsi plus de 450 serveurs répartis sur 18 sites vers 2 sites.

Une extension possible du NAS serait son couplage avec un système de gestion hiérarchique des données sur la durée (HSM). Ce système offrira la possibilité de créer un vrai espace de stockage illimité où les données sont conservées sur le support le plus adapté en fonction de leur fréquence de modification: du disque dur rapide à une technologie plus lente pour être finalement archivés sur des disques optiques.

Face aux changements apportés par ce genre de techni-ques, certains administrateurs système pourraient avoir une réaction comme le Luddisme (révolte ouvrière devant la montée en puissance de l’automatisation du travail au début de la révolution industrielle au 18e) .

Mais si un serveur de fichier local perd son rôle central, il retrouve une seconde vie en tant qu’espace intermédiaire de stockage de données.

De manière similaire, la consolidation des serveurs d’applications est offerte par le serveur VMWare ESX. Cet outil permet de faire cohabiter des systèmes d’exploitation différents sur la même machine physique en utilisant des machines virtuelles.

Pour faciliter le transfert, un outil (P2V de VMWare) permet de cloner un serveur physique pour le transformer en machine virtuelle.

Enfin, la notion d’une machine virtuelle dans un or-dinateur puissant nous ramène au système d’exploitation MVS-VM d’IBM. L’informatique étant, comme on sait, un éternel recommencement ! ■

RectificatifA propos de l’article: La visualisation en temps réel à l’EIVD paru dans le FI3 du 5 avril 2005, pp 5 à 8, http://dit.epfl.ch/publications-spip/article.php3?id_ar-ticle=845); la Direction de l’HEIG tient à ajouter ce qui suit:

«Nous portons à la connaissance du lecteur que la so-ciété Aufirex SA à Fribourg a mandaté la HEIG pour les travaux de modélisation des aéroports de Dübendorf et de Payerne faisant partie d’un mandat confié par la société Skyguide à Aufirex. Direction HEIG».

Paul DebefveNombreuses sont les personnes qui ont eu

le plaisir de rencontrer et de travailler avec Paul Debefve, coordinateur informatique de la Faculté STI et représentant de sa Faculté à la COSI; sa gentillesse et sa disponibilité étaient appréciées de tous.

Sa brusque disparition laissera un vide dans le milieu informatique de l’EPFL où il œuvrait depuis de nombreuses années.

Toutes nos pensées vont aujourd’hui vers sa famille et ses amis.



SANAS Un disque de 30’000 Go à l’EPFL et une utilisation ...

Documents

Transcript of SANAS Un disque de 30’000 Go à l’EPFL et une utilisation ...